持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
4.计算机病毒的检测和防范
4.1计算机病毒防范技术的工作原理。
目前,计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。
(1)签名扫描:通过搜索目标(宿主计算机、磁盘驱动器或文件)来查找表示恶意软件的模式。
(2)启发式扫描:通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。
4.2最容易受到恶意软件攻击的区域:
①外部网络;
②来宾客户端;
③可执行文件;
④文档;
⑤电子邮件;
⑥可移动媒体。
4.3检测和防范。
用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此,防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。
4.3.1对恶意代码的查找和分类的根据是:
对恶意代码的理解和对恶意代码“签名”的定位来识别恶意代码。然后将这个签名加入到识别恶意代码的签名列表中,这就是防病毒软件的工作原理。防病毒软件成功的关键是它是否能够定位“签名”。
4.3.2恶意代码基本上可以分为两类:
脚本代码和自执行代码。实现对脚本蠕虫的防护很简单,例如,vbscript蠕虫的传播是有规律的,因此常常可以通过运行一个应用程序的脚本来控制这块代码或者让这个代码失效。
4.3.3恶意软件防护方法:
在针对恶意软件尝试组织有效的防护之前,需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。microsoft强烈建议您在开始设计防病毒解决方案之前,进行完整的安全风险评估。
4.3.4深层防护安全模型:
在发现并记录了组织所面临的风险后,下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护,它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。
(1)数据层。
数据层上的风险源自这样的漏洞:攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。
(2)应用程序层。
应用程序层上的风险源自这样的漏洞:攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。
(3)主机层。
提供service pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。
(4)内部网络层。
组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。
(5)外围网络层。
与外围网络层(也称为dmz、网络隔离区域或屏幕子网)关联的风险源自可以访问广域网(wan)以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议(tcp)和用户数据报协议(udp)端口。
(6)物理安全层。
物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层。攻击者可能只是通过某个物理可移动媒体(如usb磁盘设备)将感染文件直接复制到主机。
(7)策略、过程和意识层。
围绕安全模型所有层的是,您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后,提高组织中对所有相关方的意识是很重要的。在许多情况下,忽视风险可以导致安全违反。由于此原因,培训也应该是任何安全模型的不可缺少的部分。
5.网络病毒发展趋势及对策
从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面:
(1)反黑与反病毒相结合
(2)从入口拦截病毒
(3)全面解决方案
(4)客户化定制
(5)区域化到国际化
目前我们所能够采取的最好的防病毒方法仍然是保证防病毒软件的及时更新,但是能够从操作系统和微处理器设计的角度出发来提高计算机防病毒的能力才是防范病毒正确的途径
上一页 [1] [2]